תכונות ההגדרה של Palo Alto Networks: SSL VPN

למרות כל היתרונות של חומות האש של Palo Alto Networks, אין הרבה חומר ב-RuNet על הגדרת התקנים אלו, כמו גם טקסטים המתארים את חווית היישום שלהם. החלטנו לסכם את החומרים שצברנו במהלך עבודתנו עם הציוד של הספק הזה ולדבר על התכונות שנתקלנו בהן במהלך ביצוע פרויקטים שונים.

כדי להכיר לכם את Palo Alto Networks, מאמר זה יסתכל על התצורה הנדרשת לפתרון אחת מבעיות חומת האש הנפוצות ביותר - SSL VPN לגישה מרחוק. נדבר גם על פונקציות שירות לתצורת חומת אש כללית, זיהוי משתמש, יישומים ומדיניות אבטחה. אם הנושא יעניין את הקוראים, בעתיד נשחרר חומרים המנתחים VPN אתר לאתר, ניתוב דינמי וניהול מרוכז באמצעות פנורמה.

חומות האש של Palo Alto Networks משתמשות במספר טכנולוגיות חדשניות, כולל App-ID, User-ID, Content-ID. השימוש בפונקציונליות זו מאפשר לך להבטיח רמת אבטחה גבוהה. לדוגמה, עם App-ID ניתן לזהות תעבורת אפליקציות על סמך חתימות, פענוח והיוריסטיקה, ללא קשר ליציאה ולפרוטוקול בשימוש, כולל בתוך מנהרת SSL. User-ID מאפשר לך לזהות משתמשי רשת באמצעות שילוב LDAP. Content-ID מאפשר לסרוק תעבורה ולזהות קבצים משודרים ותוכנם. פונקציות נוספות של חומת אש כוללות הגנה מפני חדירה, הגנה מפני פגיעויות והתקפות DoS, אנטי-ריגול מובנה, סינון כתובות אתרים, אשכולות וניהול מרוכז.

לצורך ההדגמה נשתמש במעמד מבודד, בעל תצורה זהה לאמיתית, למעט שמות מכשירים, שם תחום AD וכתובות IP. במציאות הכל יותר מסובך - יכולים להיות הרבה סניפים. במקרה זה, במקום חומת אש בודדת, יותקן אשכול בגבולות האתרים המרכזיים, וייתכן שיידרש גם ניתוב דינמי.

משמש על המעמד PAN-OS 7.1.9. כתצורה טיפוסית, שקול רשת עם חומת אש של Palo Alto Networks בקצה. חומת האש מספקת גישת SSL VPN מרחוק למשרד הראשי. תחום ה-Active Directory ישמש כמסד נתונים של משתמשים (איור 1).

איור 1 - דיאגרמת בלוקים של רשת

שלבי הגדרה:

1. הגדרה מראש של המכשיר. הגדרת שם, כתובת IP לניהול, מסלולים סטטיים, חשבונות מנהל, פרופילי ניהול
2. התקנת רישיונות, הגדרה והתקנת עדכונים
3. הגדרת אזורי אבטחה, ממשקי רשת, מדיניות תעבורה, תרגום כתובות
4. הגדרת פרופיל אימות LDAP ותכונת זיהוי משתמש
5. הגדרת SSL VPN

1. מוגדר מראש

הכלי העיקרי להגדרת חומת האש של Palo Alto Networks הוא ממשק האינטרנט; ניהול באמצעות ה-CLI אפשרי גם. כברירת מחדל, ממשק הניהול מוגדר לכתובת IP 192.168.1.1/24, כניסה: אדמין, סיסמה: אדמין.

אתה יכול לשנות את הכתובת או על ידי חיבור לממשק האינטרנט מאותה רשת, או באמצעות הפקודה הגדר את כתובת ה-ip של מערכת deviceconfig <> מסיכת רשת <>. זה מבוצע במצב תצורה. כדי לעבור למצב תצורה, השתמש בפקודה להגדיר. כל השינויים בחומת האש מתרחשים רק לאחר אישור ההגדרות על ידי הפקודה לבצע, הן במצב שורת הפקודה והן בממשק האינטרנט.

כדי לשנות הגדרות בממשק האינטרנט, השתמש בסעיף מכשיר -> הגדרות כלליות והתקן -> הגדרות ממשק ניהול. ניתן להגדיר את השם, הבאנרים, אזור הזמן והגדרות אחרות בחלק ההגדרות הכלליות (איור 2).

איור 2 - פרמטרים של ממשק ניהול

אם אתה משתמש בחומת אש וירטואלית בסביבת ESXi, בסעיף הגדרות כלליות עליך לאפשר את השימוש בכתובת ה-MAC שהוקצתה על ידי ה-Hypervisor, או להגדיר את כתובות ה-MAC שצוינו בממשקי חומת האש ב-Hypervisor, או לשנות את ההגדרות של המתגים הווירטואליים כדי לאפשר ל-MAC לשנות כתובות. אחרת, התנועה לא תעבור.

ממשק הניהול מוגדר בנפרד ואינו מוצג ברשימת ממשקי הרשת. בפרק הגדרות ממשק ניהול מציין את שער ברירת המחדל עבור ממשק הניהול. מסלולים סטטיים אחרים מוגדרים בסעיף הנתבים הווירטואליים; על כך נדון בהמשך.

כדי לאפשר גישה למכשיר דרך ממשקים אחרים, עליך ליצור פרופיל ניהול פרופיל ניהול סעיף רשת -> פרופילי רשת -> ממשק Mgmt ולהקצות אותו לממשק המתאים.

לאחר מכן, עליך להגדיר DNS ו-NTP בקטע מכשיר -> שירותים כדי לקבל עדכונים ולהציג את השעה בצורה נכונה (איור 3). כברירת מחדל, כל התעבורה שנוצרת על ידי חומת האש משתמשת בכתובת ה-IP של ממשק הניהול ככתובת ה-IP המקור שלה. אתה יכול להקצות ממשק אחר עבור כל שירות ספציפי בסעיף תצורת מסלול שירות.

איור 3 - פרמטרי שירות DNS, NTP ומסלולי מערכת

2. התקנת רישיונות, הגדרה והתקנת עדכונים

להפעלה מלאה של כל פונקציות חומת האש, עליך להתקין רישיון. אתה יכול להשתמש ברישיון ניסיון על ידי בקשתו משותפי Palo Alto Networks. תקופת התוקף שלו היא 30 יום. הרישיון מופעל באמצעות קובץ או באמצעות Auth-Code. רישיונות מוגדרים בסעיף מכשיר -> רישיונות (האיור 4).
לאחר התקנת הרישיון, עליך להגדיר את התקנת העדכונים בסעיף מכשיר -> עדכונים דינמיים.
בסעיף מכשיר -> תוכנה אתה יכול להוריד ולהתקין גרסאות חדשות של PAN-OS.

איור 4 - לוח בקרה של רישיון

3. הגדרת אזורי אבטחה, ממשקי רשת, מדיניות תעבורה, תרגום כתובות

חומות האש של Palo Alto Networks משתמשות בלוגיקת אזור בעת הגדרת כללי רשת. ממשקי רשת מוקצים לאזור מסוים, ואזור זה משמש בחוקי תנועה. גישה זו מאפשרת בעתיד, בעת שינוי הגדרות הממשק, לא לשנות את כללי התעבורה, אלא להקצות מחדש את הממשקים הדרושים לאזורים המתאימים. כברירת מחדל, תנועה בתוך אזור מותרת, תנועה בין אזורים אסורה, כללים מוגדרים מראש אחראים לכך ברירת מחדל בתוך אזור и interzone-default.

איור 5 - אזורי בטיחות

בדוגמה זו, ממשק ברשת הפנימית מוקצה לאזור פנימי, והממשק הפונה לאינטרנט מוקצה לאזור חיצוני. עבור SSL VPN, ממשק מנהרה נוצר והוקצה לאזור VPN (האיור 5).

ממשקי רשת חומת האש של Palo Alto Networks יכולים לפעול בחמישה מצבים שונים:

• ברז - משמש לאיסוף תעבורה למטרות ניטור וניתוח
• HA - משמש להפעלת אשכול
• חוט וירטואלי - במצב זה, Palo Alto Networks משלבת שני ממשקים ומעבירה תנועה ביניהם בשקיפות מבלי לשנות כתובות MAC ו-IP
• שכבה 2 - להחליף מצב
• שכבה 3 - מצב נתב

איור 6 - הגדרת מצב ההפעלה של הממשק

בדוגמה זו, ישמש מצב Layer3 (איור 6). פרמטרי ממשק הרשת מציינים את כתובת ה-IP, מצב ההפעלה ואת אזור האבטחה המתאים. בנוסף למצב ההפעלה של הממשק, עליך להקצות אותו לנתב הוירטואלי של נתב Virtual Router, זהו אנלוגי של מופע VRF ב-Palo Alto Networks. נתבים וירטואליים מבודדים זה מזה ויש להם טבלאות ניתוב והגדרות פרוטוקול רשת משלהם.

הגדרות הנתב הווירטואלי מציינות מסלולים סטטיים והגדרות פרוטוקול ניתוב. בדוגמה זו, נוצר רק מסלול ברירת מחדל לגישה לרשתות חיצוניות (איור 7).

איור 7 - הגדרת נתב וירטואלי

שלב התצורה הבא הוא מדיניות תנועה, סעיף מדיניות -> אבטחה. דוגמה לתצורה מוצגת באיור 8. ההיגיון של הכללים זהה לכל חומות האש. החוקים נבדקים מלמעלה למטה, עד להתאמה הראשונה. תיאור קצר של הכללים:

1. גישה ל-SSL VPN לפורטל האינטרנט. מאפשר גישה לפורטל האינטרנט כדי לאמת חיבורים מרוחקים
2. תעבורת VPN – מאפשרת תעבורה בין חיבורים מרוחקים למשרד הראשי
3. אינטרנט בסיסי – מאפשר אפליקציות dns, ping, traceroute, ntp. חומת האש מאפשרת יישומים המבוססים על חתימות, פענוח והיוריסטיקה ולא על מספרי יציאות ופרוטוקולים, וזו הסיבה שבסעיף השירות כתוב ברירת מחדל של יישום. יציאת/פרוטוקול ברירת מחדל עבור יישום זה
4. גישה לאינטרנט – מאפשר גישה לאינטרנט באמצעות פרוטוקולי HTTP ו-HTTPS ללא שליטה באפליקציה
5,6. כללי ברירת מחדל עבור תעבורה אחרת.

איור 8 - דוגמה להגדרת כללי רשת

כדי להגדיר NAT, השתמש בסעיף מדיניות -> NAT. דוגמה לתצורת NAT מוצגת באיור 9.

איור 9 - דוגמה לתצורת NAT

עבור כל תעבורה פנימית לחיצונית, ניתן לשנות את כתובת המקור לכתובת ה-IP החיצונית של חומת האש ולהשתמש בכתובת יציאה דינמית (PAT).

4. הגדרת פרופיל אימות LDAP ופונקציית זיהוי משתמש
לפני חיבור משתמשים באמצעות SSL-VPN, עליך להגדיר מנגנון אימות. בדוגמה זו, האימות יתרחש לבקר התחום של Active Directory דרך ממשק האינטרנט של Palo Alto Networks.

איור 10 - פרופיל LDAP

כדי שהאימות יעבוד, עליך להגדיר פרופיל LDAP и פרופיל אימות. בקטע מכשיר -> פרופילי שרת -> LDAP (איור 10) עליך לציין את כתובת ה-IP והיציאה של בקר התחום, סוג LDAP וחשבון המשתמש הכלולים בקבוצות מפעילי שרתים, קוראי יומן אירועים, משתמשי COM מבוזרים. ואז בקטע מכשיר -> פרופיל אימות צור פרופיל אימות (איור 11), סמן את הפרופיל שנוצר קודם לכן פרופיל LDAP ובכרטיסייה מתקדם אנו מציינים את קבוצת המשתמשים (איור 12) המורשית גישה מרחוק. חשוב לציין את הפרמטר בפרופיל שלכם דומיין משתמש, אחרת הרשאה מבוססת קבוצה לא תעבוד. השדה חייב לציין את שם הדומיין של NetBIOS.

איור 11 - פרופיל אימות

איור 12 - בחירת קבוצת AD

השלב הבא הוא ההתקנה מכשיר -> זיהוי משתמש. כאן עליך לציין את כתובת ה-IP של בקר התחום, אישורי חיבור וגם להגדיר הגדרות הפעל יומן אבטחה, אפשר הפעלה, אפשר בדיקה (איור 13). בפרק מיפוי קבוצתי (איור 14) עליך לציין את הפרמטרים לזיהוי אובייקטים ב-LDAP ואת רשימת הקבוצות שישמשו להרשאה. בדיוק כמו בפרופיל האימות, כאן אתה צריך להגדיר את הפרמטר User Domain.

איור 13 - פרמטרים של מיפוי משתמש

איור 14 - פרמטרים של מיפוי קבוצות

השלב האחרון בשלב זה הוא יצירת אזור VPN וממשק עבור אותו אזור. עליך להפעיל את האפשרות בממשק אפשר זיהוי משתמש (האיור 15).

איור 15 - הגדרת אזור VPN

5. הגדרת SSL VPN

לפני חיבור ל-SSL VPN, המשתמש המרוחק חייב לעבור לפורטל האינטרנט, לאמת ולהוריד את לקוח Global Protect. לאחר מכן, לקוח זה יבקש אישורים ויתחבר לרשת הארגונית. פורטל האינטרנט פועל במצב https ובהתאם לכך יש להתקין עבורו אישור. השתמש באישור ציבורי במידת האפשר. אז המשתמש לא יקבל אזהרה על אי תקפות התעודה באתר. אם לא ניתן להשתמש בתעודה ציבורית, עליך להנפיק תעודה משלך, שתשמש בדף האינטרנט עבור https. זה יכול להיות חתום עצמי או להנפיק דרך רשות אישורים מקומית. המחשב המרוחק חייב להיות בעל אישור שורש או חתימה עצמית ברשימת רשויות השורש המהימנות כדי שהמשתמש לא יקבל שגיאה בעת חיבור לפורטל האינטרנט. דוגמה זו תשתמש באישור שהונפק באמצעות Active Directory Certificate Services.

כדי להנפיק אישור, עליך ליצור בקשת אישור במדור מכשיר -> ניהול אישורים -> אישורים -> צור. בבקשה אנו מציינים את שם התעודה ואת כתובת ה-IP או ה-FQDN של פורטל האינטרנט (איור 16). לאחר יצירת הבקשה, הורד ‎.csr קובץ והעתק את תוכנו לשדה בקשת האישור בטופס האינטרנט AD CS Web Enrollment. בהתאם לאופן שבו מוגדרת רשות האישורים, יש לאשר את בקשת האישור ולהוריד את האישור שהונפק בפורמט אישור מקודד Base64. בנוסף, עליך להוריד את אישור הבסיס של רשות האישורים. לאחר מכן עליך לייבא את שני האישורים לתוך חומת האש. בעת ייבוא ​​אישור לפורטל אינטרנט, עליך לבחור את הבקשה בסטטוס הממתינה וללחוץ על ייבוא. שם התעודה חייב להתאים לשם שצוין קודם לכן בבקשה. ניתן לציין את השם של תעודת השורש באופן שרירותי. לאחר ייבוא ​​האישור, עליך ליצור פרופיל שירות SSL/TLS סעיף מכשיר -> ניהול אישורים. בפרופיל אנו מציינים את התעודה שיובאה בעבר.

איור 16 – בקשת תעודה

השלב הבא הוא הגדרת אובייקטים Global Protect Gateway и פורטל פרוטקט העולמי סעיף רשת -> Global Protect. בהגדרות Global Protect Gateway ציין את כתובת ה-IP החיצונית של חומת האש, כמו גם שנוצרה בעבר פרופיל SSL, פרופיל אימות, ממשק מנהרה והגדרות IP של הלקוח. עליך לציין מאגר של כתובות IP שמהן תוקצה הכתובת ללקוח, ו-Access Route - אלו רשתות המשנה אליהן יהיה ללקוח מסלול. אם המשימה היא לעטוף את כל תעבורת המשתמש דרך חומת אש, עליך לציין את רשת המשנה 0.0.0.0/0 (איור 17).

איור 17 - הגדרת מאגר של כתובות IP ומסלולים

אז אתה צריך להגדיר פורטל פרוטקט העולמי. ציין את כתובת ה-IP של חומת האש, פרופיל SSL и פרופיל אימות ורשימת כתובות IP חיצוניות של חומות אש אליהן יתחבר הלקוח. אם יש כמה חומות אש, ניתן להגדיר עדיפות לכל אחת, לפיה המשתמשים יבחרו חומת אש להתחבר אליה.

בסעיף מכשיר -> לקוח GlobalProtect עליך להוריד את הפצת לקוח ה-VPN משרתי Palo Alto Networks ולהפעיל אותה. כדי להתחבר, על המשתמש להיכנס לדף האינטרנט של הפורטל, שם הוא יתבקש להוריד לקוח GlobalProtect. לאחר ההורדה וההתקנה, תוכל להזין את האישורים שלך ולהתחבר לרשת הארגונית שלך באמצעות SSL VPN.

מסקנה

זה משלים את החלק של Palo Alto Networks של ההגדרה. אנו מקווים שהמידע היה שימושי והקורא השיג הבנה של הטכנולוגיות המשמשות ב-Palo Alto Networks. אם יש לכם שאלות לגבי הגדרה והצעות בנושאים למאמרים עתידיים, כתבו אותן בתגובות, נשמח לענות.

מקור: www.habr.com